, и oznámila umiestnenie „» do zoznamov zrušených certifikátov. Použitie tohto koreňového certifikátu bude mať teraz za následok bezpečnostné varovanie v prehliadačoch Firefox, Chrome/Chromium a Safari, ako aj v odvodených produktoch založených na ich kóde.
Pripomeňme, že v júli v Kazachstane bolo inštalácia vládnej kontroly nad zabezpečenou návštevnosťou zahraničných stránok pod zámienkou ochrany používateľov. Predplatiteľom viacerých veľkých poskytovateľov bolo nariadené, aby si do svojich počítačov nainštalovali špeciálny koreňový certifikát, ktorý by poskytovateľom umožnil potichu zachytávať šifrovaný prenos a vkliniť sa do pripojení HTTPS.
Zároveň tam boli sa pokúša použiť tento certifikát v praxi na sfalšovanie návštevnosti služieb Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube a ďalších zdrojov. Po vytvorení pripojenia TLS bol skutočný certifikát cieľovej stránky nahradený novým certifikátom vygenerovaným za chodu, ktorý bol prehliadačom označený ako dôveryhodný, ak používateľ pridal „certifikát národnej bezpečnosti“ do koreňového úložiska certifikátov. , keďže fiktívny certifikát bol prepojený reťazou dôvery s „certifikátom národnej bezpečnosti“. Bez inštalácie tohto certifikátu nebolo možné nadviazať bezpečné spojenie so spomínanými stránkami bez použitia doplnkových nástrojov ako Tor či VPN.
Prvé pokusy o špehovanie bezpečných spojení v Kazachstane sa uskutočnili v roku 2015, keď kazašská vláda zabezpečiť, aby bol koreňový certifikát kontrolovanej certifikačnej autority zahrnutý v úložisku koreňových certifikátov Mozilly. Audit odhalil zámer použiť tento certifikát na špehovanie používateľov a aplikácia bola zamietnutá. O rok neskôr v Kazachstane boli
novely zákona „o komunikáciách“, ktoré si vyžadujú inštaláciu certifikátu samotnými používateľmi, ale v praxi sa presadzovanie tohto certifikátu začalo až v polovici júla 2019.
Pred dvoma týždňami bolo zavedenie „certifikátu národnej bezpečnosti“ s vysvetlením, že ide len o testovanie technológie. Poskytovatelia dostali pokyn, aby prestali používateľom ukladať certifikáty, ale do dvoch týždňov od implementácie už mnohí kazašskí používatelia certifikát nainštalovali, takže potenciál odpočúvania premávky nezmizol. S ukončením projektu sa zvýšilo aj nebezpečenstvo, že sa šifrovacie kľúče spojené s „certifikátom národnej bezpečnosti“ dostanú do iných rúk v dôsledku úniku dát (vygenerovaný certifikát je platný do roku 2024).
Uložený certifikát, ktorý nie je možné odmietnuť, porušuje overovaciu schému pre certifikačné centrá, keďže autorita, ktorá tento certifikát vygenerovala, neprešla bezpečnostným auditom, nesúhlasila s požiadavkami na certifikačné centrá a nie je povinná dodržiavať stanovené pravidlá, t. môže pod akoukoľvek zámienkou vydať certifikát pre akúkoľvek stránku akémukoľvek používateľovi.
Mozilla sa domnieva, že takáto činnosť podkopáva bezpečnosť používateľov a je v rozpore so štvrtým princípom , ktorá považuje bezpečnosť a súkromie za základné faktory.
Zdroj: opennet.ru